Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.1 Há um processo para identificar vulnerabilidades de segurança, incluindo o seguinte:
Uso de origens externas conhecidas para obter informações sobre vulnerabilidade?
Classificação de uma escala de risco para as
vulnerabilidades, o que inclui identificação de todas as vulnerabilidades de "alto risco" e "críticas"?
Observação: as classificações de risco devem ser
baseadas nas melhores práticas do setor, bem como a consideração de impacto potencial. Por exemplo, os critérios para classificar as vulnerabilidades podem incluir a consideração da marca da base CVSS e/ou a classificação pelo fornecedor e/ou os tipos de sistemas afetados. Os métodos para avaliar as vulnerabilidades e classificar o nível de risco variam com base no ambiente da organização e na estratégia de avaliação de risco. As classificações de risco devem, no mínimo, identificar todas as
vulnerabilidades consideradas de "alto risco" ao ambiente. Além da classificação de risco, as vulnerabilidades podem ser consideradas "críticas" se apresentarem uma ameaça iminente ao ambiente, sistemas críticos de impacto e/ou resultariam em comprometimento potencial se não resolvidas. Exemplos de sistemas críticos podem incluir sistemas de segurança, dispositivos voltados ao público e sistemas, bancos de dados e outros sistemas que armazenam, processam ou transmitem dados do portador do cartão.
Reveja as políticas e procedimentos Entreviste a equipe Observe os processos
6.2 (a) Todos os componentes e softwares do sistema estão protegidos de vulnerabilidades conhecidas devido à instalação de patches de segurança aplicáveis disponibilizados pelo fornecedor?
Reveja as políticas e procedimentos
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
(b) Os patches de segurança críticos são instalados no prazo de um mês após o lançamento?
Observação: os patches de segurança crítica devem ser
identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.
Reveja as políticas e procedimentos
Examine os componentes do sistema
Compare a lista de patches de segurança instalados com as listas de patches recentes do fornecedor
6.3 (a) Os processos de desenvolvimento de software são baseados nos padrões e/ou melhores práticas do setor?
Reveja os processos de desenvolvimento do software Observe os processos Entreviste a equipe (b) A segurança das informações está incluída no ciclo de
vida de desenvolvimento de softwares?
Reveja os processos de desenvolvimento do software Observe os processos Entreviste a equipe (c) Os aplicativos de software são desenvolvidos de
acordo com o PCI DSS (com autenticação e logs seguros, por exemplo)?
Reveja os processos de desenvolvimento do software Observe os processos Entreviste a equipe (d) Os processos de desenvolvimento de softwares
garantem o seguinte nos requisitos 6.3.1 - 6.3.2: 6.3.1 As contas de desenvolvimento, teste e/ou aplicativos
personalizados, IDs de usuário e senhas são removidas antes que o aplicativo se torne ativo ou seja lançado aos clientes?
Reveja os processos de desenvolvimento do software Entreviste a equipe
SAQ D do PCI DSS para comerciantes, v3.0 – Seção 2: Questionário de autoavaliação Fevereiro de 2014
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.3.2 Os códigos personalizados são analisados antes da liberação para produção ou da distribuição aos clientes para identificar qualquer possível vulnerabilidade no código (usando processos manuais ou automatizados), conforme os itens a seguir:
As alterações dos códigos são analisadas por outras pessoas além do autor do código e por pessoas que estão cientes das técnicas de análise dos códigos e das práticas de codificação seguras?
As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação seguras?
As correções adequadas são implementadas antes da distribuição?
Os resultados das análises dos códigos são revisados e aprovados pela gerência antes da distribuição?
Observação: este requisito referente às análises dos
códigos se aplica a todos os códigos personalizados (internos e voltados ao público), como parte integrante do ciclo de vida de desenvolvimento do sistema. As análises dos códigos podem ser realizadas por equipes internas instruídas ou terceiros. Os aplicativos da Web voltados ao público também estão sujeitos a controles extras para abranger ameaças e vulnerabilidades contínuas após a implementação, conforme definido no Requisito 6.6 do PCI DSS.
Reveja as políticas e procedimentos Entreviste a equipe
Examine as alterações recentes e registros das alterações
6.4 Os processos e procedimentos de controle de alterações foram seguidos para todas as alterações nos componentes do sistema para incluir os itens a seguir?
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.4.1 (a) Os ambientes de teste/desenvolvimento são separados do ambiente de produção? Reveja os procedimentos e processos de controle de alteração Examine a documentação de rede e as configurações do dispositivo de rede
(b) O controle de acesso usado força a separação dos ambientes de desenvolvimento/teste e o ambiente de produção? Reveja os procedimentos e processos de controle de alteração Examine as definições do controle de acesso 6.4.2 Existe uma separação das tarefas entre a equipe atribuída
aos ambientes de desenvolvimento/teste e a equipe atribuída ao ambiente de produção?
Reveja os procedimentos e processos de controle de alteração
Observe os processos Entreviste a equipe 6.4.3 Os dados de produção (PANs ativos) não são usados para
testes ou desenvolvimento? Reveja os procedimentos e processos de controle de alteração Observe os processos Entreviste a equipe Examine os dados de teste 6.4.4 As contas e os dados de teste são removidos antes da
ativação dos sistemas de produção?
Reveja os procedimentos e processos de controle de alteração Observe os processos Entreviste a equipe Examine os sistemas de produção
SAQ D do PCI DSS para comerciantes, v3.0 – Seção 2: Questionário de autoavaliação Fevereiro de 2014
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.4.5 (a) Os procedimentos de controle de alterações para implementação de patches de segurança e modificações de software estão documentados e exigem o seguinte?
Documentação de impacto
Aprovação de controle alteração documentada pelas partes autorizadas
Teste de funcionalidade para verificar se a alteração não tem impacto adverso sobre a segurança do sistema
Procedimentos de reversão
Reveja os procedimentos e processos de controle de alteração
(b) Os seguintes itens são executados e documentados para todas as mudanças:
6.4.5.1 Documentação de impacto? Rastreie as alterações para
alterar a documentação de controle
Examine a documentação de controle de alteração 6.4.5.2 Aprovação documentada pelas partes autorizadas Rastreie as alterações para
alterar a documentação de controle
Examine a documentação de controle de alteração 6.4.5.3 (a) A funcionalidade é testada para verificar se a alteração
não tem impacto adverso sobre a segurança do sistema?
Rastreie as alterações para alterar a documentação de controle
Examine a documentação de controle de alteração
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
(b) Para alterações do código personalizado, todas as atualizações foram testadas para conformidade com o Requisito 6.5 do PCI DSS antes de serem implantadas na produção?
Rastreie as alterações para alterar a documentação de controle
Examine a documentação de controle de alteração
6.4.5.4 Procedimentos de back-out? Rastreie as alterações para
alterar a documentação de controle
Examine a documentação de controle de alteração 6.5 (a) Os processos de desenvolvimento do software
abordam vulnerabilidades de codificação comum?
Reveja os procedimentos e políticas de desenvolvimento de software
(b) Os desenvolvedores são treinados em relação às técnicas seguras de codificação, incluindo como evitar vulnerabilidades comuns de codificação e o
entendimento de como os dados confidenciais são controlados na memória?
Entreviste a equipe Examine os registros de
treinamento
(c) Os aplicativos são desenvolvidos com base nas diretrizes de codificação segura para proteger
aplicativos das seguintes vulnerabilidades, no mínimo:
Observação: as vulnerabilidades listadas nos itens 6.5.1 a
6.5.10 estavam atualizadas de acordo com as melhores práticas do setor, quando esta versão do PCI DSS foi publicada. No entanto, conforme as melhores práticas do setor para o gerenciamento de vulnerabilidades são atualizadas (por exemplo, o Guia Open Web Application Security Project (OWASP), SANS CWE Top 25, CERT Secure Coding, etc.), as melhores práticas atuais precisam ser usadas para estes requisitos.
SAQ D do PCI DSS para comerciantes, v3.0 – Seção 2: Questionário de autoavaliação Fevereiro de 2014
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.5.1 As técnicas de codificação direcionam defeitos de injeção, particularmente injeção SQL?
Observação: também considere as falhas de injeção OS
Command Injection, LDAP e XPath, assim como outras falhas.
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.2 As técnicas de codificação direcionam as vulnerabilidades
de estouro de buffer?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.3 As técnicas de codificação abordam o armazenamento
criptográfico não seguro?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.4 As técnicas de codificação abordam as comunicações não
seguras?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.5 As técnicas de codificação abordam a manipulação
incorreta de erros?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.6 As técnicas de codificação abordam todas as
vulnerabilidades classificadas como de "alto risco" identificadas no processo de identificação de
vulnerabilidade (conforme definido no Requisito 6.1 do PCI DSS)?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável Para as interfaces de aplicativo e aplicativos da Web (internos ou externos), os aplicativos são desenvolvidos com base nas diretrizes de codificação segura para proteger os aplicativos das seguintes vulnerabilidades adicionais:
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.5.7 As técnicas de codificação direcionam as vulnerabilidades de script entre sites (XSS)?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.8 As técnicas de controle direcionam controle inadequado de
acesso, como referências diretas não seguras a objetos, falhas em restringir o acesso a URLs, diretórios
transversais e falhas em restringir o acesso do usuário às funções?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.9 As técnicas de codificação direcionam falsificação de
solicitação entre sites (CSRF)?
Examine os procedimentos e políticas de desenvolvimento de software
Entreviste a equipe responsável 6.5.10 As técnicas de codificação direcionam gerenciamento de
sessão e autenticação inválida?
Observação: o requisito 6.5.10 será considerado uma das
melhores práticas até 30 de junho de 2015 quando passará a ser um requisito.
Examine os procedimentos e políticas de desenvolvimento de software
SAQ D do PCI DSS para comerciantes, v3.0 – Seção 2: Questionário de autoavaliação Fevereiro de 2014
Pergunta do PCI DSS Teste esperado
Resposta
(Marque uma resposta para cada pergunta) Sim Sim com CCW Não N/D Não testad o
6.6 Para aplicativos da Web voltados para o público, as novas ameaças e vulnerabilidades são abordadas continuamente e esses aplicativos estão protegidos contra ataques conhecidos por qualquer um dos métodos a seguir? Analisando os aplicativos da Web voltados para o
público por meio de ferramentas ou métodos manuais ou automáticos de avaliação de segurança das vulnerabilidades dos aplicativos, conforme os itens a seguir:
o Pelo menos uma vez ao ano o Após quaisquer alterações
o Por meio de uma empresa especializada na segurança de aplicativos
o Se todas as vulnerabilidades são corrigidas o Se o aplicativo for reavaliado após as correções
Observação: esta avaliação não é igual às varreduras de
vulnerabilidades realizadas para o Requisito 11.2. – OU –
Instalar uma solução técnica automatizada que detecte e previna invasões baseadas na Web (por exemplo, um firewall de aplicativo da Web) na frente de aplicativos da Web voltados para o público, para verificar
continuamente todo o tráfego.
Reveja os processos documentados Entreviste a equipe Examine os registros de avaliações de segurança de aplicativo Examine as definições de configuração do sistema
6.7 Os procedimentos operacionais e as políticas de segurança para o desenvolvimento e manutenção dos aplicativos e sistemas seguros são/estão:
Documentados Em uso
Conhecidos por todas as partes envolvidas?
Reveja as políticas de segurança e procedimentos operacionais Entreviste a equipe